私のチームは、すべての人事関連の要件を管理する従業員ポータルを開発します。これはCordova/Phonegapを使用して開発されます。Cordova/Phonegappのセキュリティに関する懸念
CordovaでWebViewを使用しているため、HTML、JS、CSSのすべてのリソースファイルがデフォルトでAPKファイルに含まれます。すべてのユーザーは、これらのリソースファイルを表示できます。これらのリソースファイルは、HTML形式でも、JSファイル内のすべてのロジックでもかまいません。
ログインしなくてもすべてのユーザーがすべてのHTMLファイルとJSファイルを表示できるようになっても、それは心配しないでください。私の考えでは、エンドポイントURLとHTMLフォーム内のすべてのPOSTフィールドが分かっているため、すべてのフォームを悪用する可能性があるからです。
ログイン後にフォームとフィールドを表示できれば問題ありませんが(Webベースのアプリでは通常そうなります)、ログインしていない他の人には懸念があります。
サーバー側では、攻撃者を防ぐための追加検証が必要ですが、すべてのユーザーがEndpointとすべてのPOSTフィールドについて知っている場合、ハッキングに一歩近づきますか?
もう一度、悪い考えか何か心配しないでください。リソースファイルを保護する方法は?今のところは分かりません。この記事を通して
'JWT'はAPIのアクセスにセキュリティを追加します。 –
@HardikVaghaniさん、ありがとう、私は 'jwt'を探るつもりですが、ログインなしですべてのフォームとフィールドを見ることができるユーザーについてのセキュリティ上の懸念はどうですか? – danisupr4
セッション管理。あなたはlocalstorageまたはsessionstorageで達成することができます。 –